Netflix bedriuw foar it testen fan de FreeBSD-kearnnivo-ymplemintaasje fan TLS (KTLS), wêrtroch in signifikante ferheging fan fersiferingsprestaasjes foar TCP-sockets mooglik is. Unterstützt fersnelling fan fersifering fan oerbrochte gegevens mei TLS 1.0- en 1.2-protokollen stjoerd nei de socket mei de skriuw-, aio_write- en sendfile-funksjes.
Kernel-nivo kaai útwikseling wurdt net stipe en de ferbining moat earst wurde oprjochte en ûnderhannele yn brûkersromte. Foar it oerdragen nei de kearn de sesje kaai krigen tidens de ferbining ûnderhanneling proses foar sockets, de opsje TCP_TXTLS_ENABLE is tafoege, nei aktivearring wêrfan alle gegevens stjoerd nei de socket wurdt ynkapsele yn TLS frames mei help fan de oantsjutte kaai. Om tsjinstberjochten te ferstjoeren, bygelyks om in ferbining te ûnderhanneljen, moatte jo de funksje sendmsg brûke mei it recordtype TLS_SET_RECORD_TYPE.
Twa haadmetoaden foar it fersiferjen fan TLS-frames wurde stipe: software en ifnet (mei hardwarefersnelling fan netwurkkaarten). De kar fan metoade wurdt útfierd mei help fan
socket opsjes TCP_TXTLS_MODE. De softwaremetoade lit jo ferskate backends ferbine foar fersifering. As foarbyld is de ktls_ocf.ko-backend mei stipe foar AES-GCM, ymplementearre basearre op it OpenCrypto-ramt, publisearre. Ferskate sysctls wurde oanbean foar behear binnen de kern.ipc.tls.* branch. By it bouwen fan 'e kernel is TLS-stipe ynskeakele mei de opsje KERN_TLS.
Boarne: opennet.ru
